This is the Trace Id: 6414ab3014cacefa61179565a7eb7f1b
Prejsť na hlavný obsah Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Zobraziť všetky produkty Kybernetická bezpečnosť využívajúca umelú inteligenciu Cloudové zabezpečenie Zabezpečenie a riadenie údajov Identita a prístup k sieti Ochrana osobných údajov a riadenie rizík Zabezpečenie pre AI Malé a stredne veľké podniky Unified SecOps Nulová dôvera (Zero Trust) Ceny Služby Partneri Prečo zabezpečenie od spoločnosti Microsoft Zvyšovanie povedomia o kybernetickej bezpečnosti Príbehy zákazníkov Základy zabezpečenia Skúšobné verzie produktov Ocenenia v rámci odvetvia Microsoft Security Insider Správa spoločnosti Microsoft o digitálnej obrane Security Response Center Blog o zabezpečení od spoločnosti Microsoft Podujatia spoločnosti Microsoft venované zabezpečeniu Microsoft Tech Community Dokumentácia Knižnica technického obsahu Školenia a certifikácie Program zabezpečenia súladu pre Microsoft Cloud Centrum dôveryhodnosti spoločnosti Microsoft Service Trust Portal Microsoft Iniciatíva Bezpečná budúcnosť Centrum podnikových riešení Kontaktovať odd. predaja Spustiť bezplatnú skúšobnú verziu Zabezpečenie od spoločnosti Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Zmiešaná realita Microsoft HoloLens Microsoft Viva Kvantové výpočtové prostriedky Vzdelávanie Automobilový priemysel Finančné služby Vládne inštitúcie İş ortakları Výroba Maloobchod Vyhľadať partnera Staňte sa partnerom Sieť partnerov Microsoft Marketplace Softvérové spoločnosti Blog Microsoft Advertising Stredisko pre vývojárov Dokumentácia Udalosti Licencovanie Microsoft Learn Microsoft Research Zobraziť mapu stránky
Tu je požadovaný alternatívny text bez zmienky o rozmazanej tvári: **Alternatívny text:** Osoba drží tablet v serverovej miestnosti a na obrazovke si prezerá tabuľu s grafmi a systémovými metrikami.

Čo sú indikátory ohrozenia (IOC)?

Zistite, ako monitorovať, identifikovať, používať a reagovať na indikátory ohrozenia.
Objavte Microsoft Defender Analýzu hrozieb

Vysvetlenie indikátorov ohrozenia

Indikátor ohrozenia (IOC) je dôkazom toho, že niekto mohol narušiť sieť alebo koncový bod organizácie. Tieto forenzné údaje nielen naznačujú potenciálnu hrozbu, ale aj signalizujú, že útok, napríklad škodlivý softvér, ohrozenie prihlasovacích údajov alebo exfiltrácia údajov, už nastal. Odborníci v oblasti zabezpečenia vyhľadávajú IOC v denníkoch udalostí, riešeniach rozšírená detekcia a reakcia (XDR): Čo je rozšírená detekcia a reakcia (XDR)?rozšírenej detekcie a reakcie (XDR) a riešeniach Security Information and Event Management (SIEM). Počas útoku tím používa IOC na odstránenie hrozby a zmiernenie poškodenia. Po obnovení môžu IOC pomôcť organizácii lepšie pochopiť, čo sa stalo, aby tím zabezpečenia organizácie mohol zvýšiť zabezpečenie a znížiť riziko ďalšieho podobného incidentu.

Príklady IOC

V zabezpečení IOC oddelenie IT monitoruje v prostredí nasledujúce znaky toho, že prebieha útok:

Anomálie sieťového prenosu

Vo väčšine organizácií existujú konzistentné vzory sieťových prenosov do a z digitálneho prostredia. Keď sa to zmení, napríklad ak organizáciu opúšťa podstatne viac údajov alebo ak aktivita pochádza z nezvyčajného miesta v sieti, môže to byť znakom útoku.

Nezvyčajné pokusy o prihlásenie

Pracovné návyky ľudí sú predvídateľné veľmi podobne ako sieťový prenos. Zvyčajne sa prihlasujú z rovnakých miest a približne v rovnakom čase počas týždňa. Odborníci na zabezpečenie môžu rozpoznať zneužité konto tak, že venujú pozornosť prihláseniam v nezvyčajných časoch dňa alebo z nezvyčajných geografických oblastí, napríklad z krajiny, v ktorej organizácia nemá kanceláriu. Dôležité je aj všimnúť si viacero neúspešných prihlásení z toho istého konta. Hoci ľudia pravidelne zabúdajú heslá alebo majú problémy s prihlásením, zvyčajne ich dokážu vyriešiť po niekoľkých pokusoch. Opakované neúspešné pokusy o prihlásenie môžu naznačovať, že niekto sa pokúša získať prístup k organizácii pomocou ukradnutého konta.

Nezrovnalosti konta s oprávneniami

Mnohí útočníci, či už sú zvnútra alebo zvonku, sa zaujímajú o prístup k správcovským kontám a získanie citlivých údajov. Netypické správanie spojené s týmito kontami, ak sa niekto napríklad pokúsi o eskaláciu oprávnení, môže byť znakom narušenia.

Zmeny v systémových konfiguráciách

Škodlivý softvér je často naprogramovaný tak, aby vykonával zmeny v systémových konfiguráciách, ako je napríklad povolenie vzdialeného prístupu alebo zakázanie softvéru zabezpečenia. Monitorovaním týchto neočakávaných zmien konfigurácie môžu odborníci na zabezpečenia identifikovať narušenie ešte pred vznikom príliš veľkých škôd.

Neočakávané inštalácie alebo aktualizácie softvéru

Mnohé útoky sa začínajú inštaláciou softvéru, napríklad škodlivého softvéru alebo ransomwaru, ktorý je navrhnutý tak, aby súbory boli nedostupné alebo útočníci mali prístup k sieti. Monitorovaním neplánovaných inštalácií a aktualizácií softvéru môžu organizácie tieto IOC rýchlo zachytiť.

Množstvo žiadostí o ten istý súbor

Viaceré žiadosti o jeden súbor môžu naznačovať, že útočník sa ho pokúša ukradnúť a vyskúšal k nemu získať prístup niekoľkými spôsobmi.

Nezvyčajné požiadavky DNS

Niektorí útočníci používajú metódu útoku, ktorá sa označuje ako riadenie a kontrola. Nainštalujú na server organizácie škodlivý softvér, ktorý vytvorí pripojenie k serveru, ktorý vlastnia. Potom zo svojho servera odosielajú do infikovaného počítača príkazy a pokúšajú sa ukradnúť údaje alebo narušiť operácie. Nezvyčajné požiadavky DNS (Domain Name Systems) pomáhajú IT zistiť tieto útoky.

Ako identifikovať IOC

Znaky digitálneho útoku sa zaznamenávajú do súborov denníka. Tímy v rámci kybernetickej bezpečnosti IOC pravidelne monitorujú podozrivú aktivitu digitálnych systémov. Moderné riešenia SIEM a XDR zjednodušujú tento proces pomocou algoritmov umelej inteligencie a strojového učenia, ktoré stanovujú základ toho, čo je v organizácii normálne, a potom upozorňujú tím na anomálie. Dôležité je zapojiť aj zamestnancov mimo oblasti zabezpečenia, ktorí môžu dostávať podozrivé e-maily alebo omylom stiahnuť infikovaný súbor. Dobré školiace programy v oblasti zabezpečenia pomáhajú pracovníkom zlepšovať sa v detekcii zneužitých e-mailov a ponúkajú im spôsoby, ako nahlásiť všetko, čo sa zdá byť nevhodné.

Prečo sú IOC dôležité

Monitorovanie IOC je kriticky dôležité na zníženie rizika pre zabezpečenie organizácie. Včasná detekcia IOC umožňuje tímom zabezpečenia rýchlo reagovať na útoky a riešiť ich, čím sa znižuje množstvo výpadkov a prerušení. Pravidelné monitorovanie poskytuje tímom aj lepší prehľad o rizikách organizácie, ktoré potom možno zmierniť.

Reakcie na indikátory ohrozenia

Keď tímy zabezpečenia identifikujú IOC, musia efektívne reagovať, aby sa zabezpečilo čo najmenšie poškodenie organizácie. Nasledujúce kroky pomáhajú organizáciám sústrediť sa a zastaviť hrozby čo najrýchlejšie:

Vytvorenie plánu odozvy na incidenty

Reagovanie na incident je stresujúce a citlivé na čas, pretože čím dlhšie zostanú útočníci neodhalení, tým pravdepodobnejšie dosiahnu svoje ciele. Mnohé organizácie vyvíjajú plán odozvy na incidenty, ktorý pomôže pri usmerňovaní tímov počas kritických fáz odozvy. Plán načrtáva, ako organizácia definuje incident, úlohy a zodpovednosti, kroky potrebné na vyriešenie incidentu a spôsob, akým by mal tím komunikovať so zamestnancami a externými zainteresovanými stranami.

Izolovanie ohrozených systémov a zariadení

Keď organizácia identifikuje hrozbu, tím zabezpečenia rýchlo izoluje napadnuté aplikácie alebo systémy od zvyšných sietí. To pomáha zabrániť útočníkom v prístupe k iným častiam podniku.

Vykonanie forenznej analýzy

Forenzná analýza pomáha organizáciám odhaliť všetky aspekty narušenia vrátane zdroja, typu útoku a cieľov útočníka. Analýza sa vykonáva počas útoku na pochopenie rozsahu ohrozenia. Po obnovení organizácie po útoku ďalšia analýza pomôže tímu pochopiť možné riziká a ďalšie prehľady.

Eliminácia hrozby

Tím odstráni útočníka a všetok škodlivý softvér z ovplyvnených systémov a zdrojov, čo môže zahŕňať prepnutie systémov do režimu offline.

Implementácia vylepšení zabezpečenia a procesov

Po obnovení organizácie po incidente je dôležité vyhodnotiť, prečo k útoku došlo a či organizácia mohla urobiť niečo, aby mu zabránila. Môžu existovať jednoduché vylepšenia procesov a politík, ktoré v budúcnosti znížia riziko podobného útoku, alebo tím môže identifikovať riešenia s dlhším rozsahom na pridanie do plánu zabezpečenia.



Riešenia IOC

Väčšina narušení zabezpečenia zanechá v súboroch denníkov a systémoch forenznú stopu. Učenie sa identifikovať a monitorovať tieto IOC pomáha organizáciám rýchlo izolovať a eliminovať útočníkov. Mnohé tímy sa obracajú na riešenia SIEM, ako sú Microsoft Sentinel a Microsoft Defender XDR, ktoré využívajú umelú inteligenciu a automatizáciu na vynesenie IOC na povrch a ich koreláciu s inými udalosťami. Plán odozvy na incidenty umožňuje tímom predbehnúť útoky a rýchlo ich odstaviť. Pokiaľ ide o kybernetickú bezpečnosť, čím rýchlejšie spoločnosti porozumejú tomu, čo sa deje, tým pravdepodobnejšie zastavia útok ešte predtým, ako by ich niečo stál alebo poškodí ich dobré meno. Zabezpečenie IOC je kľúčom k pomoci organizáciám pri znižovaní rizika drahého narušenia.
Zdroje

Ďalšie informácie o zabezpečení od spoločnosti Microsoft

  1.
Muž a žena sedia za stolom, pričom žena píše do knihy a vedľa je viditeľný prenosný počítač.

Microsoft Ochrana pred bezpečnostnými hrozbami

Identifikujte incidenty vo vašej organizácii a reagujte na ne pomocou najnovšej ochrany pred bezpečnostnými hrozbami.
Ďalšie informácie
Osoba sedí za stolom a používa prenosný počítač.

Microsoft Sentinel

Zjednoťte bezpečnostné údaje a kontext a posilnite agentskú obranu pomocou platformy SIEM& založenej primárne na AI.
Ďalšie informácie
Žena pozerá na svoj mobilný telefón.

Microsoft Defender XDR

Zastavte útoky v koncových bodoch, e-mailoch, identitách, aplikáciách a údajoch pomocou riešení XDR.
Ďalšie informácie
Skupina troch ľudí v svetlej kancelárii sa usmieva a so záujmom pozerá na prenosný počítač, ktorý drží jeden z nich.

Komunita analýzy hrozieb

Získajte najnovšie aktualizácie z komunitného vydania služby Microsoft Defender Analýza hrozieb.
Ďalšie informácie
Späť na sekciu Súvisiace produkty
Najčastejšie otázky

Najčastejšie otázky

  • Existuje niekoľko typov IOC. Medzi najbežnejšie patria tieto:
    • Anomálie sieťového prenosu
    • Nezvyčajné pokusy o prihlásenie
    • Nezrovnalosti konta s oprávneniami
    • Zmeny v systémových konfiguráciách
    • Neočakávané inštalácie alebo aktualizácie softvéru
    • Množstvo žiadostí o ten istý súbor
    • Nezvyčajné požiadavky DNS
  • Indikátor ohrozenia je digitálny dôkaz toho, že už došlo k útoku. Indikátor útoku je dôkazom pravdepodobného výskytu útoku. Napríklad kampaň na neoprávnené získavanie údajov je indikátorom útoku, pretože neexistuje žiadny dôkaz o tom, že útočník narušil zabezpečenie spoločnosti. Ak však niekto klikne na prepojenie na neoprávnené získavanie údajov a stiahne škodlivý softvér, inštalácia škodlivého softvéru je indikátorom ohrozenia.
  • Indikátory ohrozenia v e-mailoch zahŕňajú náhlu záplavu nevyžiadanej pošty, nezvyčajné prílohy alebo prepojenia, alebo neočakávaný e-mail od známej osoby. Ak napríklad zamestnanec odošle spolupracovníkom e-mail s nezvyčajnou prílohou, môže to znamenať, že jeho konto bolo zneužité.
  • Existuje viacero spôsobov identifikácie zneužitého systému. Zmena v sieťovom prenose z konkrétneho počítača môže byť indikátorom, že je zneužitý. Ak osoba, ktorá zvyčajne nepotrebuje systém, začne k nemu pravidelne získavať prístup, je to výstražný príznak. Zmeny v konfiguráciách v systéme alebo neočakávaná inštalácia softvéru môžu tiež znamenať, že je zneužitý.
  • Tri príklady IOC:
    • Používateľské konto so sídlom v Severnej Amerike sa začne prihlasovať do podnikových zdrojov z Európy.
    • Tisíce žiadostí o prístup v rámci viacerých používateľských kont, čo naznačuje, že organizácia sa stala obeťou útoku hrubou silou.
    • Nové požiadavky DNS prichádzajúce od nového hostiteľa alebo z krajiny, v ktorej nesídlia zamestnanci ani zákazníci.

Sledujte zabezpečenie od spoločnosti Microsoft

Copilot pre organizácie Copilot na osobné použitie Microsoft 365 Aplikácie systému Windows 11 Profil konta Centrum sťahovania softvéru Vrátenie produktov Sledovanie objednávok Recyklácia Commercial Warranties Microsoft Education Zariadenia pre vzdelávanie Microsoft Teams pre vzdelávacie inštitúcie Microsoft 365 Education Office Education Vzdelávanie a rozvoj pedagógov Ponuky pre študentov a rodičov Azure pre študentov
Microsoft AI Zabezpečenie od spoločnosti Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Vývojár Microsoftu Microsoft Learn Podpora pre aplikácie na trhu umelej inteligencie Technická komunita spoločnosti Microsoft Microsoft Marketplace Microsoft Power Platform Softvérové spoločnosti Visual Studio Zamestnanie Správy spoločnosti Ochrana osobných údajov v spoločnosti Microsoft Investori
Slovenčina (Slovensko) Ochrana osobných údajov spotrebiteľa v zdravotníctve Kontaktovať Microsoft Ochrana osobných údajov Správa súborov cookie Podmienky používania Ochranné známky Informácie o reklamách EU Compliance DoCs